01-07 ACL配置
Page 11 of 18
[Router-acl-adv-3001] rule 1 deny ip destination 2.2.2.1 0
这个时候,ACL的规则则变成:
[Router-acl-adv-3001] rule 1 deny ip source 1.1.1.1 0 destination 2.2.2.1 0
只有TCP和UDP协议需要指定端口范围。支持的操作符及其语法如下表。
表7-2 高级访问控制列表的操作符意义 操作符及语法 eq port-number gt port-number lt port-number
range port-number1 port-number2
意义
等于端口号port-number 大于端口号port-number 小于端口号port-number
介于端口号port-number1和port-number2之间
在指定port-number时,对于部分常见的端口号,可以用相应的助记符来代替其实际数 字,支持的助记符如下表。 表7-3 端口号助记符 协议 TCP
助记符 Bgp Chargen Cmd Daytime Discard Domain Echo Exec Finger Ftp Ftp-data Gopher Hostname Irc Klogin Kshell Login Lpd Nntp Pop2 Pop3 Smtp Sunrpc Tacacs Talk Telnet Time Uucp Whois
意义及实际值
Border Gateway Protocol (179) Character generator (19) Remote commands (rcmd, 514) Daytime (13) Discard (9)
Domain Name Service (53) Echo (7) Exec (rsh, 512) Finger (79)
File Transfer Protocol (21) FTP data connections (20) Gopher (70)
NIC hostname server (101) Internet Relay Chat (194) Kerberos login (543) Kerberos shell (544) Login (rlogin, 513) Printer service (515)
Network News Transport Protocol (119) Post Office Protocol v2 (109) Post Office Protocol v3 (110)
Simple Mail Transport Protocol (25) Sun Remote Procedure Call (111) TAC Access Control System (49) Talk (517) Telnet (23) Time (37)
Unix-to-Unix Copy Program (540) Nicname (43)
01-07 ACL配置
Page 12 of 18
Www
UDP
biff bootpc bootps discard dns dnsix echo mobilip-ag mobilip-mn nameserver netbios-dgm netbios-ns netbios-ssn ntp rip snmp snmptrap sunrpc syslog tacacs-ds talk tftp time who Xdmcp
World Wide Web (HTTP, 80)
Mail notify (512)
Bootstrap Protocol Client (68) Bootstrap Protocol Server (67) Discard (9)
Domain Name Service (53)
DNSIX Security Attribute Token Map (90) Echo (7)
MobileIP-Agent (434) MobileIP-MN (435) Host Name Server (42)
NETBIOS Datagram Service (138) NETBIOS Name Service (137) NETBIOS Session Service (139) Network Time Protocol (123) Routing Information Protocol (520) SNMP (161) SNMPTRAP (162)
SUN Remote Procedure Call (111) Syslog (514)
TACACS-Database Service (65) Talk (517)
Trivial File Transfer (69) Time (37) Who(513)
X Display Manager Control Protocol (177)
对于ICMP协议可以指定ICMP报文类型,缺省为全部ICMP报文。指定ICMP报文类型 时,可以用数字(0~255),也可以用助记符。
表7-4 ICMP报文类型助记符 助记符 echo
echo-reply
fragmentneed-DFset host-redirect host-tos-redirect host-unreachable information-reply information-request net-redirect net-tos-redirect net-unreachable parameter-problem port-unreachable
意义
Type=8, Code=0 Type=0, Code=0 Type=3, Code=4 Type=5, Code=1 Type=5, Code=3 Type=3, Code=1 Type=16,Code=0 Type=15,Code=0 Type=5, Code=0 Type=5, Code=2 Type=3, Code=0 Type=12,Code=0 Type=3, Code=3
01-07 ACL配置
protocol-unreachable reassembly-timeout source-quench source-route-failed timestamp-reply timestamp-request ttl-exceeded
Type=3, Code=2 Type=11,Code=1 Type=4, Code=0 Type=3, Code=5 Type=14,Code=0 Type=13,Code=0 Type=11,Code=0
Page 13 of 18
相关命令请参考《Quidway NetEngine20/20E 系列路由器 命令参考》。
这样,用户通过配置防火墙,添加适当的访问规则,就可以利用包过滤来对通过路由器 的IP包进行检查,从而过滤掉用户不希望通过路由器的包,起到保护网络安全的作用。
7.1.7 ACL对分片报文的支持
传统的包过滤并不处理所有IP报文分片,而是只对第一个(首片)分片报文进行匹配处 理,后续分片一律放行。这样,网络攻击者可能构造后续的分片报文进行流量攻击,就 带来了安全隐患。
产品的包过滤提供了对分片报文过滤的功能,包括:对所有的分片报文进行三层(IP 层)的匹配过滤;同时,对于包含扩展信息的ACL规则项(例如包含TCP/UDP端口号, ICMP类型),提供标准匹配和精确匹配两种匹配方式。标准匹配即三层信息的匹配,匹 配将忽略三层以外的信息;精确匹配则对所有的ACL项条件进行匹配,这就要求防火墙 必须记录首片分片报文的状态以获得完整的后续分片的匹配信息。缺省的功能方式为标 准匹配方式。
在ACL的规则配置项中,通过关键字fragment来标识该ACL规则仅对非首片分片报文有 效,而对非分片报文和首片分片报文则忽略此规则。而不包含此关键字的配置规则项对 所有报文均有效。 例如:
[Quidway-acl-basic-2001] rule deny source 202.101.1.0 0.0.0.255 fragment [Quidway-acl-basic-2001] rule permit source 202.101.2.0 0.0.0.255
[Quidway-acl-adv-3101] rule permit ip destination 171.16.23.1 0 fragment [Quidway-acl-adv-3101] rule deny ip destination 171.16.23.2 0
上述规则项中,所有项对非首片分片报文均有效;第一、三项对非分片和首片分片报文 是被忽略的,仅仅对非首片分片报文有效。
7.1.8 ACL生效时间段
时间段用于描述一个特殊的时间范围。用户可能有这样的需求:一些ACL规则需要在某 个或某些特定时间内生效,而在其他时间段则不利用它们进行包过滤,即通常所说的按 时间段过滤。这时,用户就可以先配置一个或多个时间段,然后在相应的rule规则下通过 时间段名称引用该时间段,从而实现基于时间段的ACL过滤。 实施基于时间段的ACL规则具体有两个步骤: 1.
创建一个时间段
time-range time-name { start-time to end-time days | from time1 date1 [ to time2 date2 ] } 2.
在ACL的rule命令中引用这个时间段的名称
在rule命令中使用参数time-range time-name引用该时间段。这样,该条ACL规则将只能 在指定时间段内有效,其他时间段则不生效。
7.1.9 ACL统计
NE20/20E路由器上的ACL提供统计功能。当创建的ACL用于防火墙、QoS、NAT和策略
01-07 ACL配置
Page 14 of 18
路由等特性中时,NE20/20E使能ACL统计功能后,路由器就能够基于ACL的编号进行统 计,并且提供命令可以查询ACL匹配成功次数和报文字节数。
7.2 配置访问控制列表
7.2.1 建立配置访问控制列表的任务
应用环境
访问控制列表可以用于很多的业务中,比如路由策略、包过滤等等,主要是为了区分不 同类别的报文,从而进行不同的处理。
前置任务
访问控制列表的配置都是用于某个业务中。在配置访问控制列表前没有要事先配置的任 务。
数据准备
在配置访问控制列表之前,需准备以下数据。 序号 1 2 3
数据
ACL起作用的时间段名,以及起始时间和结束时间
ACL的编号
ACL下的规则编号,以及确定报文类型的规则,具体包括协议、源地址和 源端口、目的地址和目的端口、ICMP类型和编码、IP优先级、tos值、是 否分片。 ACL的注释内容 ACL的步长
4
5
配置过程
要完成建立配置访问控制列表的任务,需要执行如下的配置过程。 序号 1 2 3 4 5 6 7
过程
创建ACL生效时间段 配置ACL描述信息 配置基本访问控制列表 配置高级访问控制列表 配置ACL的步长 使能ACL统计 检查配置结果
7.2.2 创建ACL生效时间段
请在路由器上进行以下配置。
步骤 1 执行命令system-view,进入系统视图。
步骤 2 执行命令time-range time-name { start-time to end-time days | from time1 date1 [ to time2
01-07 ACL配置
date2 ] },创建一个时间段。
----结束
Page 15 of 18
此配置任务用来创建一个时间段,可以创建多条名字相同的时间段。
7.2.3 配置ACL描述信息
请在路由器上进行以下配置。
步骤 1 执行命令system-view,进入系统视图。 步骤 2 执行命令acl acl-number,进入ACL视图。 步骤 3 执行命令description text,创建ACL描述。
----结束
ACL的描述信息表示该ACL规则的用途,长度不能超过127字符。
7.2.4 配置基本访问控制列表
请在路由器上进行以下配置。
步骤 1 执行命令system-view,进入系统视图。
步骤 2 执行命令acl [ number ] acl-number [ match-order { auto | config } ],创建一个基本访问
控制列表。 步骤 3 执行命令rule [ rule-id ] { deny | permit } [ source { source-ip-address soucer-wildcard |
any } | time-range time-name | vpn-instance vpn-instance-name ] *,配置ACL规则。 ----结束
7.2.5 配置高级访问控制列表
请在路由器上进行以下配置。
步骤 1 执行命令system-view,进入系统视图。
步骤 2 执行命令acl [ number ] acl-number [ match-order { auto | config } ],创建一个高级访问
控制列表。 步骤 3 请根据不同情况进行以下配置。
· 当参数
·
·
protocol为TCP、UDP时,创建ACL规则 rule [ rule-id ] { deny | permit }
protocol [ destination { destination-ip-address destination-wildcard | any } | destination- port operator port-number | dscp dscp | fragment | logging | precedence precedence | source { source-ip-address source-wildcard | any } | source-port operator port-number | time-range time-name | tos tos | vpn-instance vpn-instance-name ]*。
当参数protocol为ICMP时,创建ACL规则 rule [ rule-id ] { deny | permit } protocol [ destination { destination-ip-address destination-wildcard | any } | dscp dscp | fragment | logging | icmp-type { icmp-name | icmp-type icmp-code } | precedence precedence | source { source-ip-address source-wildcard | any } | time-range time-name | tos tos | vpn- instance vpn-instance-name ]*
当参数protocol为除TCP、UDP或ICMP之外的协议时,创建ACL规则 rule [ rule-{ deny | permit } protocol [ destination { destination-ip-address destination-wildcard | any } | dscp dscp | fragment | precedence precedence | source { source-ip-address source-wildcard | any } | time-range time-name | tos tos | vpn-instance vpn-instance- name ]*
id ]
根据IP承载的不同协议类型,在路由器上配置不同的高级访问控制列表。对于不同的协